A solicitação de federação passiva falha ao acessar um aplicativo usando AD FS e Autenticação de Formulários depois de se conectar anteriormente ao Microsoft Dynamics CRM usando também o AD FS

Sintomas

A solicitação de federação passiva falha ao acessar um aplicativo, como o SharePoint, que usa AD FS e Autenticação de Formulários após se conectar anteriormente ao Microsoft Dynamics CRM com Autenticação Baseada em Declarações. Ele falha com o seguinte erro: Erro encontrado durante a solicitação passiva de



federação.
Nome do Protocolo de Dados Adicional: Parte Subjacente: Detalhes de

exceção:
Microsoft.IdentityServer.RequestFailedException: MSIS7065: Não há manipuladores de protocolo registrados no caminho /adfs/ls/ para processar a solicitação de
entrada.
em Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context) Cenário de

saída: 20 minutos antes da expiração do token abaixo da caixa de diálogo é exibida com opções para Entrar ou
Cancelar. Clicar em Entrar não redireciona para a página de Logon do ADFS solicitando nome de usuário e senha. Em vez disso, ele apresenta uma página ADFS Des saída. Referece – autenticação baseada em declarações e expiração de token de segurança.



texto alternativo

Causa

O problema é causado por um cookie MSISAuth duplicado emitido pelo Microsoft Dynamics CRM como um cookie de domínio com um namespace do AD FS. Esse nome de cookie não é exclusivo e quando outro aplicativo, como o SharePoint, é acessado, ele é apresentado com cookies duplicados. Isso faz com que a autenticação falhe.

O cenário de Sair é causado pelo cookie Sign Out emitido pelo Microsoft Dynamics CRM como um cookie de domínio, veja o exemplo abaixo. Este cookie é um cookie de domínio e, quando apresentado ao ADFS, ele é considerado para todo o domínio, como *.contoso.com/. Isso causa falha no fluxo de autenticação e o ADFS apresenta a página Sair.

Set-Cookie: MSISSignOut=; domain=contoso.com; path=/; seguro; httpOnly

Resolução

Para resolver esse problema, você precisará configurar o Microsoft Dynamics CRM com um valor de subdomínio, como crm.domain.com. Isso exigirá um certificado de cartão curinga diferente, como *.crm.domain.com.

Depois de executar essas alterações, você precisará configurar a Autenticação Baseada em Reclamações e o IFD usando os pontos de extremidade corretos, como mostrado abaixo:

  1. auth.<subdomínio>.domain.com

  2. dev.<subdomínio>.domain.com

  3. org.<subdomínio>.domain.com


Informações adicionais

Para obter detalhes adicionais sobre como configurar a Autenticação Baseada em Reclamações e o IFD para Microsoft Dynamics CRM, consulte o link a seguir: Configurando a Autenticação baseada em declarações para

o Microsoft Dynamics CRM Server

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×